Dünya Sağlık Örgütü tarafından salgın hastalık olarak ilan edilen Koronavirüs (COVID-19) salgını, kamu sağlığı üzerinde ciddi bir tehdit oluşturmaktadır. COVID-19 ile mücadele kapsamında, ilgili kurum ve kuruluşlar tarafından çeşitli önlemler alınmaktadır. Kamu sağlığını korumak adına getirilen önlemlerin uygulanabilmesi için ilgili kişilere ait sağlık verisi de dâhil olmak üzere çeşitli kişisel verilerin ilgili kurum ve kuruluşlar tarafından işlendiği görülmektedir.
COVID-19’la mücadele kapsamında çalışanların COVID-19’a işaret eden semptomları taşıyıp taşımadığı, vücut ısıları kontrol edilmekte olup çalışanların sağlık verisi de dâhil olmak üzere çeşitli kişisel verileri işlenebilmektedir. Çalışanlardan COVID-19 salgını sebebiyle elde edilebilecek olan kişisel verilere dair işleme faaliyetinin de, 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“Kanun”) uygun bir şekilde yürütülmesi gerekmektedir.
I. Kişisel Verilerin İşlenmesine Dair Genel Bir Bakış
Kişisel veriler, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir. Hayatın olağan akışı esnasında işverenler, çalışanların çeşitli kişisel verilerini elde etmektedir. Örneğin; işverenler, çalışanın özlük dosyasını oluşturabilmek adına çalışanının ad-soyad, adres ve iletişim bilgisi gibi çeşitli verilerini elde etmektedir. Veri işleme faaliyetine ilişkin tüm usul ve esaslar Kanun’da ve ilgili mevzuatta yer almaktadır. İşverenin, çalışanına dair veri işleme faaliyetinin hukuka uygun bir şekilde gerçekleştirilmesi adına aşağıda yer verilen asgari hususlara dikkat edilmesi gerekmektedir.
1- Kişisel veriler elde edilmeden önce Kanun’un 10. Maddesinden kaynaklanan aydınlatma yükümlülüğünün yerine getirilmesi gerekmektedir.
2- Kanun’unun 4. Maddesinde yer verilen temel ilkelere hassasiyet ile yaklaşılmalı ve veri minimanizasyonu sağlanmalıdır.
3- Kanun’un 5. ve 6. maddesinde belirtilen veri işleme şartlarına uygun bir şekilde hareket edilmelidir. Kişisel veriler kural olarak ilgili kişinin açık rızası dâhilinde işlenebilmektedir. Açık rızanın olmadığı durumlarda ise Kanun’unun 5. maddesinin 2 fıkrasında ve 6. maddesinin 3. fıkrasında belirtilen istisnalar çerçevesinde kişisel veri işleme faaliyet yürütülmelidir.
4- Kişisel veri gizliliği ve güvenliğine ilişkin tüm teknik ve idari önlemler alınmalıdır.
5- Kişisel veriler hukuka uygun bir şekilde saklanmalı ve mümkün olan en kısa süre içerisinde yok edilmelidir.
II. COVID-19 Salgını Sebebiyle Çalışanlardan Elde Edilebilecek Olan Sağlık Verisi
Sağlık verisi, Kanun’un 6. maddesinde belirtilen özel nitelikteki kişisel verilerindedir. COVID–19 sebebiyle, çalışanlara ait sağlık verilerinin daha çok işlenmeye başladığı görülmektedir. Örneğin; işyerlerinde çalışanların; vücut ısısı düzenli aralıklarla ölçülmektedir. Ayrıca çalışanların COVID-19’a işaret eden semptomları taşıyıp taşımadığına dair genel muayeneleri de sıklıkla yapılmaktadır.
Kanun’un 6. maddesi gereğince, sağlık verisi ancak ilgili kişinin açık rızasının bulunması halinde işlenebilmektedir. Ancak, çalışanın işveren karşısındaki pozisyonu gereği, çalışanın rızayı özgür irade ile verdiğini iddia etmek/kanıtlamak ciddi bir zorluk içermektedir.
Öte yandan; açık rızanın olmadığı hallerde, kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından sağlık verisinin işlenmesi mümkündür. Sır saklama yükümlülüğü altında bulunan kişi grubundan anlaşılması gereken ise mesleği gereğince sır saklama ile yükümlü olan hekim, avukat ve benzeri meslek gruplarıdır. Açık rıza olmaksızın işyerlerinde yalnızca işyeri hekimleri tarafından çalışanın sağlık verisinin elde edilebileceği açıkça görülmektedir. Bu kapsamda açık rıza olmaksızın işyeri hekimleri, çalışanın vücut ısısını ölçebilecek ve çalışanın COVID-19’a dair semptomları taşıyıp taşımadığını genel muayene neticesinde belirleyebilecektir. Ancak sağlık verilerin işyeri hekimi tarafından elde edilmesinin mümkün olmadığı durumlarda, işyerindeki herhangi bir yetkilinin bu verileri elde edebilmesi için çalışanların öncelikle aydınlatılması akabinde de açık rızalarına başvurulması gerekecektir. COVID-19 salgını, tüm ülkelere etkisini 3 ay içerisinde ulaştırabilecek şekilde hızlı ve kolay yayıldığından ötürü çalışanların kendi açık rızasıyla sağlık verilerini paylaştığı da söylenebilecektir. Ancak çalışanların COVID-19 sebebiyle sağlık verilerini işyeri ile paylaşmış olduğu hususu yapılmış olan bir yorumdan ibarettir. Bu kapsamda yukarıda da belirtildiği üzere, açık rızanın çalışan tarafından verildiğine dair ispat yükünün işverene ait olduğu da unutulmamalıdır.
Her koşulda, sağlık verisi elde edilmeden önce çalışana karşı aydınlatma yükümlülüğü yerine getirilmelidir. Elde edilen sağlık verileri, çalışan ile eşleştirilebilecek şekilde işyeri ile paylaşılmamalı, mümkün olduğu ölçüde anonim hale getirilmelidir. Sağlık verileri, hukuka uygun bir şekilde saklanmalı ve mümkün olan en kısa süre içerisinde yok edilmelidir. Sağlık verilerin gizliliğinin ve güvenliğinin sağlanması noktasında gereken tüm idari ve teknik önlemler alınmalıdır. Ayrıca Kişisel Verileri Koruma Kurulu’nun özel nitelikteki kişisel verileri korumak adına belirlediği ek güvenlik önlemleri de dikkate alınmalıdır.
III. COVID-19 Salgını Sebebiyle Çalışanlardan Elde Edilebilecek Olan Seyahat Verisi
COVID-19 salgının yurt dışı kökenli olması sebebiyle işverenler, “yurtdışına giriş/çıkış bilgileri, çalışanlarının en son seyahat ettikleri ülke ve seyahat tarihi gibi” soruları çalışanlara yöneltebilmektedir. Böylelikle elde edilen bilgiler; ilgili kişiyi belirlenebilir kılabildiğinden ötürü kişisel veri olarak kabul edilmektedir. Ayrıca elde edilen seyahat bilgisinin özünde “Çalışanın COVID-19 hastası olup olmadığını” saptamak yer aldığından ötürü elde edilen verinin, seyahat verisinin ötesinde sağlık verisi olarak değerlendirilebilmesi mümkündür. Böylelikle de COVID- 19 salgını sebebiyle sorulan seyahat bilgileri ve benzeri kişisel verilerin elde edilmesi öncesinde yukarıda yer verdiğimiz sağlık verisinin elde edilmesi için izlenmesi gereken yönteme uygun hareket edilmesi gerekmektedir. Bu kapsamda; çalışan öncelikle aydınlatılmalıdır ve çalışana gerekli olan sorular yöneltilerek çalışanın özel hayatına müdahale edici sorulardan kaçınılmalıdır.
Kurum, kişilerin son olarak seyahat ettikleri ülke bilgisinin, özel nitelikte kişisel veri olmadığını belirtmiş olup Kanun’un 5. maddesindeki işleme şartlarına bakılması gerektiğini belirtmiştir. Ancak seyahat bilgisi olağan şartlar dâhilinde genel nitelikte kişisel veri kabul edilmekle birlikte COVİD-19 sebebiyle elde edilen seyahat verisinin sağlık verisini öncülleyen bir veri olarak değerlendirilmesi mümkündür. Bu kapsamda yürürlükteki mevzuat uyarınca; COVID-19 sebebiyle işveren (işyeri hekimi dışında) tarafından elde edilecek seyahat verisinin yalnızca çalışanın açık rızasına dayanarak elde edilebileceği yönünde dar bir yorum yapılması mümkündür. Ancak bu halde de katı bir uygulamanın varlığı söz konusu olabilmektedir. Böylelikle mevcut pandemi ışığında; işverence sağlık ve seyahat verisinin elde edilebilmesi için çalışan açık rızasının şart olması sebebiyle; çalışana tanınan özgürlük alanı ile toplum sağlığının korunabilmesi adına özgürlüğün kısıtlanabilmesi zarureti arasındaki menfaat dengesinin yürürlükteki mevzuat kapsamında gözetilemediği görülmektedir. En azından salgın, mücbir sebep ve benzeri durumlarda veri işlemeye dair istisnaların getirilmesi kanun koyucudan beklenendir.
IV. Çalışanın COVID-19 Hastası Olduğunun Belirlenmesinin Ardından İşverenin Diğer Çalışanları Bilgilendirmesi
İşveren, gerekli çalışma ortamını sağlayarak çalışanın maddi ve manevi bütünlüğünü korumakla mükelleftir. Bu nedenle COVID-19 hastası olan bir çalışanının bulunması halinde işveren, diğer çalışanlarını bilgilendirerek gerekli tüm önlemleri almalıdır. İşveren, diğer çalışanlarına bilgilendirme yaparken ilgili kişinin kişisel verilerini mümkün olduğu ölçüde açıklamamaya özen göstermelidir. Zira Kişisel Verileri Koruma Kurumu diğer çalışanlara bilgilendirme yapılır iken hasta bireyin isminin verilmesine gerek olmadığını ve işveren tarafından olabildiğince az bilgi verilmesi gerektiğini belirtmiştir. Burada önemli olan husus veri mahremiyetini korumak ve elde edilecek verilerle ilgili kişiyi belirgin olmamasını sağlamaktır. Kurum, koruyucu tedbirlerin alınması açısından virüsün bulaştığı çalışanın isminin açıklanmasının zorunlu olduğu hallerde ilgili çalışanın bu hususta önceden bilgilendirilmesi gerektiğini belirtmiştir.
V. Uzaktan Çalışma Pratiği Kapsamında İşveren Tarafından Veri Güvenliğinin Sağlanması
COVID- 19 salgınının, kamu sağlığı üzerinde oluşturulduğu tehdit neticesinde birçok işveren, çalışanlarına evden çalışma talimatı vermiştir. Evden çalışma halinde de işverenlerin veri güvenliğine ilişkin yükümlülüklerinin devam edeceği aşikârdır. İşverenler, çalışanlarını veri güvenliğini sağlamak konusunda bilgilendirmelidir. Zira evden çalışma sebebiyle çalışanlar kendi mobil cihazlarıyla işlerini yürütmekte olup bu durum casus yazılımların aktif hale gelmesi için bir fırsat teşkil edebilmektedir.
Bu kapsamda veri güvenliğinin sağlamak adına çalışanlar mobil cihazların daha güvenli hale gelebilmesi adına uğraşmalı, cihazlara anti-virüs programları yüklemelidir. Kurum, veri güvenliğine ilişkin risklerin azaltılması adına, sistemler arasındaki veri trafiğinin güvenli iletişim protokolleriyle gerçekleştirilmesi ve herhangi bir zafiyet içermemesinin sağlanması ile anti-virüs sistemlerinin ve güvenlik duvarlarının güncelliğinin sağlanması başta olmak üzere, her türlü tedbirin işverenler tarafından alınması gerektiğini belirtmiştir.
VI. Kişisel Verileri Koruma Kurumu’nun COVID-19 Sürecine Yaklaşımı
Hali hazırda Kişisel Verileri Koruma Kurumu, 23.03.2020 ve 27.03.2020 tarihinde olmak üzere COVID-19 ile mücadele kapsamında iki adet duyuru yapmıştır. 23.03.2020 tarihli duyuruda Kurum, kendisine ulaşan şikâyet, ihbar ve ihlal bildirimlerine ilişkin veri sorumlularının mevzuatta belirlenen sürelere uyması gerektiği belirtmiştir. Kurum aynı zamanda bu sürelerin değerlendirilmesi açısından, veri sorumlularının aldığı önlemler (uzaktan çalışma, dönüşümlü çalışma gibi) gözetilerek olağanüstü koşulların göz önünde bulunduracağını da belirtmiştir. Kısacası Kanun’da yer alan süreler durmamıştır. Ancak yapılan şikâyet, ihbar ve ihlal bildiriminde sürelere ilişkin değerlendirme yapılırken içinde bulunduğumuz somut durumun şartları Kurum tarafından gözetilecektir.
Kurum 27.03.2020 tarihli duyurusunda COVID-19 ile mücadele kapsamında; özel nitelikli kişisel veriler de (sağlık verileri, ırkı, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık ve kıyafet, dernek, vakıf ya da sendika üyeliği bilgisi, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleri) dâhil olmak üzere pek çok kişisel verinin (TC kimlik no, ad, adres, işyeri, seyahat bilgileri gibi) işlenmesinin kaçınılmaz olduğu belirtmiştir. Kurum, COVID-19 salgını ile mücadele sürecinde veri sorumlularının yükümlülüklerinin devam ettiğini bildirerek; aydınlatma yükümlülüğüne uygun davranılması, kişisel veri işleme faaliyetlerinin temel ilkelere ve kişisel verilerin hukuki sebeplere uygun olarak işlenmesi gerektiğini belirtmiştir. Kurum veri güvenliği konusunda gerekli idari ve teknik tedbirlerin alınması gerektiğini ve veri minimizasyonuna dikkat edilmesi gerektiğini vurgulamıştır. Ayrıca duyuruda, sağlık verilerinin işlenmesi açısından çalışanın açık rızasının alınması yoluna başvurulacağı gibi, salgının yayılma hızı düşünüldüğünde, çalışanın kendi rızası ile de hastalık bildirimi yapabileceği; fakat açık rıza dışındaki şartlar dâhilinde ise, sağlık verilerinin iş yeri hekimleri tarafından işlenmesinin söz konusu olabileceği de açıkça belirtilmiştir.
Son Güncelleme Tarihi: 02 Nisan 2020
Ayrıntılı bilgi için: info@yonet.av.tr
İşbu bilgilendirme yazısı YÖNET tarafından, Türkiye Barolar Birliği'nin meslek kuralları ve 1136 sayılı Avukatlık Kanunu uyarınca, sadece bilgilendirme amaçlı olarak temin edilmiştir.
İşbu bilgilendirme yazısı burada belirtilen tarih itibariyle hazırlanmıştır. YÖNET'in mevzuat veya olaylarda gerçekleşen veya dikkatimize sunulan değişiklikleri bildirme yükümlülüğü bulunmamaktadır.